Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Authentication Server (MS RADIUS, MS LDAP AD) - сервер находится в другой сети

    Scheduled Pinned Locked Moved Russian
    33 Posts 3 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @mikeroygbiv
      last edited by

      @mikeroygbiv
      а покажите, пож , настройки фазы 2 ipsec PF Site B

      1 Reply Last reply Reply Quote 0
      • M
        mikeroygbiv
        last edited by

        b37b9206-9f02-4e73-b96f-9459589004ad-image.png

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @mikeroygbiv
          last edited by

          @mikeroygbiv
          Попробуйте , ради интереса, сделать так
          создайте дополнительную фазу 2 на стороне PF Site B
          d42c01ac-153f-4629-9285-93a8e17cc6a9-image.png

          M 1 Reply Last reply Reply Quote 0
          • M
            mikeroygbiv @Konstanti
            last edited by

            @Konstanti fd4d9edf-b8e6-48cc-b95f-e1bbdd02655f-image.png

            на сайте B при логине по VPN такая картина
            есть реквесты но никакого ответа

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @mikeroygbiv
              last edited by

              @mikeroygbiv
              Вы сделали , как я сказал ?? я понимаю , в чем проблема , думаю , как ее решить

              M 1 Reply Last reply Reply Quote 0
              • M
                mikeroygbiv @Konstanti
                last edited by

                @Konstanti
                боюсь делать сейчас, это прод)
                сейчас подниму ipsec в лабе между двух pfsense
                там все это проверю!

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @mikeroygbiv
                  last edited by Konstanti

                  @mikeroygbiv
                  Тут нет криминала
                  Проблема в том , что PF Site B ничего не знает про сеть 192.168.0.0/ 20 ( ее нет в таблице маршрутизации ) . Поэтому когда от самого PF исходит пакет на адрес 192.168.1.7 , то он этот пакет пихает в шлюз по умолчанию , которым является wan интерфейс. Ловушек , которые бы перехватывали этот трафик и запихивали бы его в ipsec туннель тоже нет . Таким образом , эти пакеты улетают в никуда через wan интерефейс . Как создать такую ловушку , используя NAT/BINAT я Вам показал .
                  Если такой вариант не сработает , то Вам надо будет переходить на маршрутизируемый виртуальный туннель ( GRE over Ipsec , VTI, OpenVpn)

                  1 Reply Last reply Reply Quote 1
                  • M
                    mikeroygbiv @Konstanti
                    last edited by

                    @Konstanti

                    Вобщем затестил в лабе с доп. второй фазой - результата нет..

                    лаба - ipsec между pf1 и pf2 есть,открыт весь тарффик, все туда обратно бегает. авторизация на pf1 по VPN по доменной учетке (radius) тоже

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @mikeroygbiv
                      last edited by Konstanti

                      @mikeroygbiv
                      Понятно , скорее всего ловушки не срабатывают на исходящем трафике .
                      Попробуйте рассмотреть вариант перехода на маршутизируемый туннель , как писал выше . Этот вариант должен сработать
                      На всякий случай , покажите пож вывод команды ipsec statusall и состояние фазы 2 в /status/ipsec после создания доп фазы-2
                      и проверьте tcpdump-ом , куда сейчас убегает трафик на порту 1812

                      M 2 Replies Last reply Reply Quote 1
                      • M
                        mikeroygbiv @Konstanti
                        last edited by

                        @Konstanti
                        Ура, у меня получилось реализовать эту схему , заработало ))
                        пока не понял что сработало - ловушки, которые вы порекомендовали сделать или это))
                        https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html

                        в любом случае сейчас разберусь, что дало эту возможность)

                        1 Reply Last reply Reply Quote 0
                        • M
                          mikeroygbiv @Konstanti
                          last edited by mikeroygbiv

                          @Konstanti
                          вобщем добавление статического маршрута, как в этой статье решает этот вопрос - аутентификация VPN с сайта Б через raduis ad на сайте А работает, и я попадаю в локалку сайта Б .

                          https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Добрый.
                            @mikeroygbiv

                            Или автоматом выдавать маршрут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html

                            @Konstanti выше это предлагал.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.